Artigo Econômico 007
A Lei n° 13.709/2018, conhecida como Lei Geral de Proteção de Dados - LGPD, está em vigor desde 18 de setembro de 2020.
A norma é um reflexo da GENERAL DATA PROTECTION REGULATION – GDPR (Regulamento UE n° 2016/679), publicada pelo Parlamento Europeu e pelo Conselho da União Europeia em 2016, e pretende proteger direitos fundamentais do indivíduo no que diz respeito ao “tratamento de dados” (privacidade, intimidade, honra e imagem, por exemplo).
O “tratamento de dados” é definido pela LGPD como “toda operação realizada com dados pessoais”, então envolve ações como coleta, classificação, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, transferência, difusão e extração, por exemplo, que aconteçam por meio físico ou eletrônico.
Como “dado pessoal”, a norma define qualquer “informação relacionada a pessoa natural identificada ou identificável”, então sempre que realizar uma das operações descritas acima, com informações que identifiquem ou possam identificar uma pessoa, as empresas devem observar o disposto na LGPD, sob pena de advertência, multa e da aplicação das demais sanções previstas em seu art. 52.
A gratuidade do bem ou do serviço disponibilizado não afasta a incidência da norma, cujos dispositivos estão fundamentados nos seguintes princípios, previstos em seu art. 6º:
a) finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
b) adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
c) necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
d) livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
e) qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
f) transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
g) segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
h) prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
i) não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
j) responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Todos esses princípios são relevantes e devem ser observados pelas pessoas físicas ou jurídicas, mas os princípios da finalidade, necessidade e adequação exigem especial atenção, porque refletem o principal objetivo da lei: evitar o tratamento não autorizado de dados pessoais.
Sobre o tratamento autorizado pela LGPD, merece destaque o art. 7º, que pela absoluta relevância, segue transcrito:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. [...]
A primeira hipótese - fornecimento de consentimento pelo titular – correspondente à regra geral da Lei n° 13.709/2018, pois formaliza a autorização de quem se submete ao tratamento de dados. O consentimento previsto na lei deve ser expresso (por escrito ou outro meio que demonstre a manifestação de vontade do titular), claro, inequívoco e específico para os fins pretendidos, até porque a LGPD prevê que autorizações genéricas ou em modelos “pré-preenchidos” poderão ser consideradas nulas.
Caso o consentimento seja fornecido por escrito, deverá constar de cláusula destacada das demais cláusulas contratuais, competindo ao controlador comprovar que não houve coação, estado de perigo ou estado de necessidade, por exemplo.
Para as demais hipóteses do art. 7º da Lei n° 13.709/2018, incluindo a proteção da vida, a tutela da saúde, o cumprimento de obrigação legal e o exercício regular de direitos em processo judicial, fica dispensado o consentimento do titular dos dados, mas isso não afasta a necessidade de cumprimento dos demais dispositivos da lei, tendo em vista o disposto no §6º:
[...] § 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
Ou seja, com ou sem o consentimento do titular, as operações envolvendo dados pessoais devem observar as diretrizes da Lei n° 13.709/2018, com a adoção de medidas que garantam o sigilo e a proteção desses dados.
Administrativamente, as pessoas físicas ou jurídicas só poderão ser penalizadas pelo descumprimento da lei a partir de 01 de agosto de 2021, quando a Autoridade Nacional de Proteção de Dados poderá aplicar a multa e as demais sanções previstas no art. 52 da LGPD, mas o fato é que, desde 18 de setembro de 2020, a proteção pretendida pela lei já pode ser discutida judicialmente.
Através de ações individuais ou de ações coletivas propostas pelo PROCON, pelo Ministério Público e pela Defensoria Pública, por exemplo, as pessoas já podem exigir que os direitos previstos na LGPD sejam respeitados, então as pessoas físicas e jurídicas precisam estar preparadas juridicamente, demonstrando que realiza o tratamento de dados de forma “legal” e que tomaram providências no sentido de evitar que esses dados sejam violados.
Apesar de não obrigatórios, os manuais e relatórios mencionados nos arts. 38 e 50 da LGPD facilitam a implementação de um programa para atendimento às normas e ainda terão seus contornos definidos pela Autoridade Nacional de Proteção de Dados.
Desse modo, com o objetivo de contribuir para a adequação das pessoas físicas e jurídicas à LGPD, esta assessoria jurídica recomenda a constituição de uma Comissão voltada ao monitoramento das questões relacionadas à LGPD, bem como a leitura de cartilhas sobre o tema .
Há necessidade, neste primeiro momento, formalizar os seguintes documentos, que poderão ser adequados de acordo com as necessidades da pessoa física ou jurídica que realiza tratamento de dados:
I – política de privacidade que deverá integrar os manuais e relatórios elaborados pela pessoa física ou jurídica que realiza tratamento de dados e poderá ser disponibilizado aos clientes através do site ou outra ferramenta eletrônica;
II – termo de consentimento que deverá ser assinado pelos titulares dos dados ou seus responsáveis;
III – termo aditivo aos contratos com os fornecedores e demais pessoas físicas ou jurídicas que tenham acesso a dados da entidade ou dos seus pacientes;
IV – ato de designação do “DPO” ou “Encarregado pelo Tratamento de Dados Pessoais” e da Comissão constituída para acompanhamento e monitoramento de questão relacionadas à LGPD;
V – termo aditivo aos contratos de trabalho;
VI – termo aditivo aos contratos de parceria para prestação de serviços médicos, na hipótese de pessoa jurídica que realiza o tratamento de dados ser prestadora de serviços médico-hospitalares.
Além dessas formalidades devidamente cumpridas, há necessidade de estabelecer a rotina para implantação para o mapeamento dos processos internos da pessoa física ou jurídica que realiza o tratamento de dados, assim como a Comissão deverá estabelecer todas as rotinas necessárias para fins de cumprimento, fiscalização e acompanhamento para aplicação da LGPD.
De uma maneira prática, deve-se mapear os processos internos que utilizam dados pessoais sensíveis e não sensíveis nas organizações religiosas, segue exemplificações sobre os dados pessoais de alguns entes envolvidos para reflexão:
- Membros religiosos – Lembrar das informações dos membros ativos, dos inativos e dos que deixaram a organização religiosa;
- Voluntários;
- Funcionários e autônomos;
- Contratos com pessoas Jurídicas;
- Assistidos (crianças, adultos, idosos, pessoas em estado de vulnerabilidade social, etc...)
Importante ainda destacar a necessidade de informar e ter detalhado em processo interno, como é feito o descarte dos dados pessoais após o uso, evitando o uso indevido e garantindo a finalização da informação.
Maçazumi Furtado Niwa
Advogado
Fernando Luis Mazur
Contador de Organizações Religiosas
